Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline mecher  
#1 Оставлено : 24 ноября 2022 г. 17:52:32(UTC)
mecher

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.08.2022(UTC)
Сообщений: 5
Российская Федерация

Всем добрый день.

Установил nginx 1.22.0 с патчем от КриптоПро как описано в инструкции - https://support.cryptopr...-c-podderzhkojj-gost-tls

Выпустил сертификат с использованием криптопровайдера "Crypto-Pro GOST R 34.10-2012 KC1 CSP". Контейнер хранится под пользвоателем nginx, под которым стартует сам nginx:
Код:
sudo -u nginx /opt/cprocsp/bin/amd64/certmgr -l -chain -store uMy
Certmgr 1.1 (c) "Crypto-Pro", 2007-2021.
Program for managing certificates, CRLs and stores.
=============================================================================
1-------
Issuer              : OGRN=1234567890123, INN=001234567890, STREET=ул. Сущёвский вал д. 18, C=RU, S=г. Москва, L=Москва, O="ООО ""КРИПТО-ПРО""", CN="Тестовый УЦ ООО ""КРИПТО-ПРО"""
Subject             : CN=
Serial              : 0x7C00074DEF5D0D38D3941C3AEA000100074DEF
SHA1 Thumbprint     : 6708f3647d6173207372ef2a7f90e25bdcf6c36e
SubjKeyID           : 4873facbd9ad60a23b623591f21485b8cf9144da
Signature Algorithm : ГОСТ Р 34.11-2012/34.10-2012 256 бит
PublicKey Algorithm : ГОСТ Р 34.10-2012 256 бит (512 bits)
Not valid before    : 23/11/2022  09:28:37 UTC
Not valid after     : 23/02/2023  09:38:37 UTC
PrivateKey Link     : Yes
Container           : HDIMAGE\\rngi.000\C43F
Provider Name       : Crypto-Pro GOST R 34.10-2012 KC1 CSP
Provider Info       : Provider Type: 80, Key Spec: 1, Flags: 0x0
CA cert URL         : http://testgost2012.cryptopro.ru/CertEnroll/root2018.crt
OCSP URL            : http://testgost2012.cryptopro.ru/ocsp2012g/ocsp.srf
OCSP URL            : http://testgost2012.cryptopro.ru/ocsp2012gst/ocsp.srf
CDP                 : http://testgost2012.cryptopro.ru/CertEnroll/!0422!0435!0441!0442!043e!0432!044b!0439%20!0423!0426%20!041e!041e!041e%20!0022!041a!0420!0418!041f!0422!041e-!041f!0420!041e!0022(1).crl
CDP                 : http://testgost2012.cryptopro.ru/CertEnroll/testgost2012(1).crl
Extended Key Usage  : 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
Certificate chain   : Verified successfully.
#0:
  Issuer            : Тестовый УЦ ООО "КРИПТО-ПРО"
  Subject           : Тестовый УЦ ООО "КРИПТО-ПРО"
  SHA1 Thumbprint   : 927c1e1eb2b397cbc5d11712e2e3bbedc876bd7e
#1:
  Subject           : 
  SHA1 Thumbprint   : 6708f3647d6173207372ef2a7f90e25bdcf6c36e
=============================================================================

[ErrorCode: 0x00000000]


Имена в "CN", "Container" и "Subject" опущены.

Указал серийный номер сертификата в конфиге nginx:

Код:

server {
        listen 443;

        server_name servername;

        root /var/www/html;
        index index.html index.htm index.nginx-debian.html;

        sspi on;
        sspi_certificate 0x7C00074DEF5D0D38D3941C3AEA000100074DEF;
        sspi_protocols TLSv1.2;
        location / {
        }
}


"server_name" опущено.

В итоге на тестовый сайт по https можно зайти через браузер Спутник. В строке адреса "зелёный двуглавый орёл" и соединение защищено.
Но Chromium-gost говорит "Не удается получить доступ к сайту".

В access логе nginx для Спутника:

Код:

"GET / HTTP/1.1" 200 2393 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4137.1 SputnikBrowser/5.6.6280.0 (GOST) Safari/537.36"


В error логе nginx для Chromium-gost:
Код:

[error] 1504#0: *9173 AcceptSecurityContext failed: 0x80090331 while SSPI handshaking, client: ip_клиента, server: 0.0.0.0:443


В syslog'е:
Код:

ocess: <ssp>AcceptSecurityContext!(failed: 0x80090331)
ocess: <ssp>AddToMessageLog!CryptoPro TLS. Error 0x80090331 in TLS protocol: The client and server cannot communicate, because they do not possess a common algorithm.
ocess: <ssp>AcceptSecurityContext!(failed: 0x80090331)


Задача стоит, что бы сайт по https открывался не только в одном Спутнике, который к тому же более не разрабатывается, а и в Chromium-gost.

Возникает вопрос: "Я использую неверного криптовайдера или что-то ещё делаю не так"?
Offline mecher  
#2 Оставлено : 25 ноября 2022 г. 12:48:50(UTC)
mecher

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.08.2022(UTC)
Сообщений: 5
Российская Федерация

Оказалось, что есть какие-то проблемы на клиенте. Именно конкретно с него не открывается сайт в Chromium-gost, но открывается в Спутнике.
Попробовали на другом клиенте, там сайт в Chromium-gost открывается.
Т.е. серверная часть настроена корректно. Вопрсо закрыт.
Offline perestoroninvv  
#3 Оставлено : 22 ноября 2024 г. 10:32:39(UTC)
perestoroninvv

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2024(UTC)
Сообщений: 5
Российская Федерация
Откуда: Красногорск

Сказал(а) «Спасибо»: 2 раз
Точно такая же проблема, у одного пользователя работает, а от другого пользователя в логах на сервере nginx ошибка 0x80090331

Клиентский сертификат вместе с контейнером от проблемного пользователя перенесли пользователю у которого проблем не было, и выяснили что проблема не в клиентском сертификате.

Браузеры и КриптоПро одинаковые у обоих клиентов.

Через stunnel и curl от проблемного клиента такая же ошибка в логах nginx, как и из браузера.

Вдруг уже разобрались в чем была проблема на клиенте, подскажите пожалуйста, как исправили ?

Подозреваем что есть различия в настройках Криптопро на стороне проблемного клиента, но какие? Вроде разницы в настройках не заметили.

И тогда почему к другому серверу проблемный клиент подключается без ошибки 0x80090331 :(

Отредактировано пользователем 22 ноября 2024 г. 10:37:15(UTC)  | Причина: Не указана

Offline perestoroninvv  
#4 Оставлено : 22 ноября 2024 г. 10:37:56(UTC)
perestoroninvv

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2024(UTC)
Сообщений: 5
Российская Федерация
Откуда: Красногорск

Сказал(а) «Спасибо»: 2 раз
Автор: perestoroninvv Перейти к цитате
Точно такая же проблема, у одного пользователя работает, а от другого пользователя в логах на сервере nginx ошибка 0x80090331

Клиентский сертификат вместе с контейнером от проблемного пользователя перенесли пользователю у которого проблем не было, и выяснили что проблема не в клиентском сертификате, т.к. и с этим сертификатом с подключением к "проблемному" серверу у беспроблемного клиента нет.

Браузеры и КриптоПро одинаковые у обоих клиентов.

Через stunnel и curl от проблемного клиента такая же ошибка в логах nginx, как и из браузера.

Вдруг уже разобрались в чем была проблема на клиенте, подскажите пожалуйста, как исправили ?

Подозреваем что есть различия в настройках Криптопро на стороне проблемного клиента, но какие? Вроде разницы в настройках не заметили.

И тогда почему к другому серверу проблемный клиент подключается без ошибки 0x80090331 :(

Отредактировано пользователем 22 ноября 2024 г. 10:38:32(UTC)  | Причина: Не указана

Offline Сонина Лолита  
#5 Оставлено : 22 ноября 2024 г. 11:44:41(UTC)
Сонина Лолита

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 23 раз в 20 постах
Добрый день!

Какая версия CSP и Chromium Gost используется?

Хотелось бы увидеть содержимое секции Parameters в конфиге.
В первую очередь, интересуют параметры tls_client_disable_legacy_cipher_suites и tls_client_reject_legacy_cipher_suites.

Код:

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view

Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Сонина Лолита за этот пост.
perestoroninvv оставлено 26.11.2024(UTC)
Offline perestoroninvv  
#6 Оставлено : 26 ноября 2024 г. 12:13:13(UTC)
perestoroninvv

Статус: Новичок

Группы: Участники
Зарегистрирован: 10.11.2024(UTC)
Сообщений: 5
Российская Федерация
Откуда: Красногорск

Сказал(а) «Спасибо»: 2 раз
Автор: Сонина Лолита Перейти к цитате
Добрый день!

Какая версия CSP и Chromium Gost используется?

Хотелось бы увидеть содержимое секции Parameters в конфиге.
В первую очередь, интересуют параметры tls_client_disable_legacy_cipher_suites и tls_client_reject_legacy_cipher_suites.

Код:

/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
/opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view



Добрый день.

На сервере:
Код:

# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_disable_legacy_cipher_suites' -view
Error code:2
The system cannot find the file specified.

# /opt/cprocsp/sbin/amd64/cpconfig -ini '\config\Parameters\tls_client_reject_legacy_cipher_suites' -view
Error code:2
The system cannot find the file specified.

/etc/opt/cprocsp # grep tls_client_disable_legacy_cipher_suites config64.ini 
# tls_client_disable_legacy_cipher_suites=1

/etc/opt/cprocsp # grep tls_client_reject_legacy_cipher_suites config64.ini 
# tls_client_reject_legacy_cipher_suites=0


На обоих клиентах (и проблемном и рабочем):
https://imgur.com/a/sMBOZFk

Отредактировано пользователем 26 ноября 2024 г. 13:09:29(UTC)  | Причина: Не указана

Offline Сонина Лолита  
#7 Оставлено : 26 ноября 2024 г. 15:20:04(UTC)
Сонина Лолита

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 20.11.2014(UTC)
Сообщений: 30
Российская Федерация

Сказал(а) «Спасибо»: 1 раз
Поблагодарили: 23 раз в 20 постах
Уточните, пожалуйста, версию CSP и ChromiumGost на клиентах.

Есть ли возможность собрать дамп трафика с работающего и проблемного клиентов?

Можно ли подключиться к серверу с помощью утилиты csptest в режиме tlsc с этих клиентов?

Код:
csptest -tlsc -proto 6 -server <имя_сервера> -port <номер_порта> -v -v
Техническую поддержку оказываем тут
Наша база знаний
thanks 1 пользователь поблагодарил Сонина Лолита за этот пост.
perestoroninvv оставлено 26.11.2024(UTC)
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest (2)
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.